Esta política explica cómo deben obtenerse, documentarse y aplicarse el consentimiento y la autorización de los usuarios para garantizar un acceso legal y responsable dentro de los entornos organizativos.
El propósito de esta política es definir los principios que rigen el consentimiento de los usuarios y la autorización de acceso a sistemas, datos y recursos digitales. Se aplica a empleados, administradores, contratistas y a cualquier otro usuario autorizado.
El consentimiento y la autorización son conceptos independientes. Ambos deben estar presentes cuando así lo exijan la ley o las normas internas de gobernanza.
El consentimiento se refiere al acuerdo informado, voluntario y explícito de un usuario o titular de los datos para permitir el acceso o actividades de tratamiento.
La autorización se refiere a los controles técnicos y administrativos que determinan qué acciones puede realizar un usuario autenticado.
El consentimiento no concede automáticamente un acceso ilimitado. Las autorizaciones deben limitarse siempre a roles definidos y a fines legítimos.
Los privilegios administrativos, las capacidades de supervisión y el acceso a sistemas sensibles requieren una justificación adicional, documentación adecuada y un control reforzado.
Las organizaciones son responsables de obtener el consentimiento de los usuarios antes de habilitar accesos, actividades de supervisión o tratamientos de datos, cuando así lo exija la ley.
El consentimiento debe ser claro, estar documentado y comunicarse de forma comprensible para los usuarios. No deben utilizarse mecanismos de consentimiento implícito u oculto cuando se requiera un consentimiento explícito.
El acceso debe concederse en función de roles definidos, responsabilidades y necesidades operativas. El principio del mínimo privilegio debe aplicarse en todo momento.
Las autorizaciones deben revisarse periódicamente y actualizarse de forma inmediata cuando cambien los roles o cuando el acceso ya no sea necesario.
Las decisiones sobre el consentimiento y la autorización deben documentarse de manera que respalden las revisiones internas, las auditorías y las solicitudes regulatorias.
Los registros deben demostrar cuándo se obtuvo el consentimiento, qué acceso fue autorizado y quién aprobó dicho acceso.
La responsabilidad de obtener el consentimiento, definir las reglas de autorización y aplicar los controles de acceso recae exclusivamente en la organización. Las infracciones de esta política pueden dar lugar a la suspensión de accesos o a medidas disciplinarias internas.